2025年,Python生态系统持续面临威胁。每个月,都会发现有新的恶意软件包被高调上传到Python软件包索引(Python Package Index)。2024年12月,近年来最严重的一次供应链攻击瞄准了广受欢迎的Ultralytics YOLO Python软件包。诸如仓库劫持(repojacking)、域名混淆(typosquatting)和近似域名攻击(slopsquatting)等供应链威胁如今已十分普遍。
让情况更为复杂的是,在生产环境中运行Python的常用基础设施,比如官方Python容器镜像,包含数百个已知漏洞。在撰写本文时,其中包括8个被评为严重级别的漏洞和115个被评为高危级别的漏洞。Python运行时和操作系统栈中的这些漏洞,对于企业来说极难修复,我们称之为"老板让我修复Ubuntu"问题。
在本次网络研讨会中,我们将探讨在2025年保障Python工作负载安全的实用方法。我们将涵盖供应链基础知识,包括CVE系统。我们将讨论并演示扫描和签名方面的最新技术,并介绍Sigstore和SLSA项目。我们将介绍Python软件包索引为保障供应链末端安全所做的近期努力。我们还将深入探讨Chainguard提供的两种解决方案------Chainguard容器和Chainguard库,它们可以加快您所在企业在Python供应链方面的进程。
**在 2025 年,仅仅使用 pip 安装并祈祷一切顺利已经不够了。**Python生产代码的完整性至关重要,是时候像重视应用程序安全一样重视供应链安全了。